Több szempontból is szokatlan sebezhetőségeket talált két biztonsági kutató a McDonald’s amerikai egységei által toborzásra használt McHire rendszer rendszeren keresztül – derül ki a Wired jelentéséből.
A rendszert, valamint az abban működő, Olivia nevű mesterségesintelligencia-chatbotot a Paradox.ai fejlesztette a gyorsétterem számára, és a hibáit kiaknázva 64 millió jelentkező személyes adataihoz lehetett hozzáférni. Ian Carroll és Sam Curry kutatók szerint néhány nappal ezelőttig konkrétan hihetetlen hibák tátongtak a rendszerben – ha ezeket a rosszindulatú felek is kiszúrták volna, akkor simán hozzá tudtak volna férni a jelentkezők minden chatbotos beszélgetéséhez, ide értve a személyes adatok megadását is.
A kutatók hozzá tudtak férni egy Paradox.ai-fiókhoz, valamint a jeletkezők chatjeit tartalmazó adatbázishoz is. A módszerük már-már nevetségesen egyszerű volt: beléptek a rendszerbe az adminisztrátori fiókkal,
mert, mint kiderült, annak neve és jelszava is annyi volt, hogy 123456.
Igazából semmi trükk nem volt a dologban, ez volt a második tippük, amit megpróbáltak az admin-admin páros után.
„Csak arra gondoltam, hogy a McHire elég disztópikus a hagyományos felvételi eljárásokhoz képest, nem? Ez késztetett arra, hogy jobban megvizsgáljam” – mondja Carroll. „Így hát elkezdtem jelentkezni egy állásra, és 30 perc múltán már teljes hozzáférésünk volt szinte minden olyan jelentkezéshez, amit valaha benyújtottak a McDonald’s-hoz. Évekre visszamenőleg” – magyarázza.
Mint a PC Gamer megjegyzi: a jelentkezők adatai nem szivárogtak ki. A kutatók munkájának hála a hibát sikerült orvosolni is. Az eset inkább annak ékes példája, hogy egy ilyen, rengeteg személyes adatot tartalmazó rendszer is milyen banális hibákat tartalmazhat – és a rosszindulatú felek könnyen visszaélhetnek velük, ha felfedezik maguknak.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
